Информация |
---|
Методические указания по нейтрализации угроз эксплуатации уязвимостей операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6), далее по тексту - Astra Linux, в информационных системах. |
Информация |
---|
Методические указания не являются кумулятивными. При выполнении методических указаний другие виды обновлений автоматически не применяются и должны быть установлены отдельно. |
Информация |
---|
Перед выполнением действий настоящей методики безопасности необходимо установить оперативное обновление 10 (бюллетень № 20211126SE16). |
Подсказка |
---|
Обновленные пакеты, в которых устранена угроза эксплуатации уязвимости, включены в состав оперативного обновления 11 (бюллетень № 20220829SE16). Если нет возможности установить оперативное обновление 11, можно воспользоваться обновлением безопасности БЮЛЛЕТЕНЬ № 2022-0318SE16MD. |
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости
CVE-2022-0185ядра linux
Примечание |
---|
Информация о уязвимости, закрываемой при выполнении настоящих методических указаний, предоставляется после соответствующего обращения на портале технической поддержки. |
Подсказка |
---|
В данной методике безопасности представлены методические рекомендации по устранению уязвимости. Обновлённые пакеты ядра Linux, в которых устранена уязвимость, предоставлены в бюллетене №20220318SE16MD. |
Примечание |
Уязвимость присутствует в Astra Linux с установленным оперативным обновлением 1.6.10 и актуальна для ядра linux-5.4 версии 5.4.0-54astra7+ci26 |
Предупреждение | ||
---|---|---|
| ||
Применение методических указаний необходимо выполнять от имени учетной записи пользователя с полномочиями администратора системы с высоким уровнем целостности. |
Для нейтрализации угрозы эксплуатации уязвимости CVE-2022-0185 необходимо ядра linux необходимо запретить непривилегированным пользователям создавать новые пространства имен пользователей, установив значение параметра ядра kernel.unprivileged_userns_clone
равным "0". Чтобы проверить текущее значение параметра ядра необходимо выполнить команду:
Command |
---|
sudo sysctl kernel.unprivileged_userns_clone |
Параметр ядра kernel.unprivileged_userns_clone
может принимать следующие значения:
- 0 — в случае, когда непривилегированным пользователям запрещено создавать новые пространства имен пользователей;
- 1 — в случае, когда непривилегированным пользователям разрешено создавать новые пространства имен пользователей.
Для того чтобы временно (до перезагрузки системы) запретить непривилегированным пользователям создавать новые пространства имен пользователей, для этого необходимо выполнить команду:
Command |
---|
sudo sysctl -w kernel.unprivileged_userns_clone=0 |
Для того чтобы установленное значение параметра ядра сохранилось после перезагрузки, необходимо:
Добавить в файл
/etc/sysctl.d/999-astra.conf
следующую строку:Блок кода kernel.unprivileged_userns_clone = 0
Это можно сделать следующей командой:
Command echo "kernel.unprivileged_userns_clone = 0" | sudo tee -a /etc/sysctl.d/999-astra.conf Перезагрузить параметры ядра, выполнив команду:
Command sudo sysctl --system
Примечание |
---|
При применении настоящей методики сервис Rootless docker, а также не будут функционировать любые сервисы и решения в конфигурациях, требующих создания создание пространства имен пользователей непривилегированным пользователем, не будут функционировать в этом режиме. Такие сервисы чаще всего входят в состав средств управления контейнерами. В состав следующего оперативного обновления войдут обновлённые пакеты, в которых будет устранена угроза эксплуатации уязвимости без необходимости запрета создания пространства имен пользователей непривилегированным пользователем. |
...